Aggiornare la password dell'identità dell'account di archiviazione in Active Directory Domain Services
Se è stata registrata l'identità o l'account di servizi di Dominio di Active Directory (AD DS) che rappresenta l'account di archiviazione in un'unità organizzativa o in un dominio che impone la scadenza della password, è necessario modificare la password prima della validità massima della password. L'organizzazione può eseguire script di pulizia automatizzati che eliminano gli account alla scadenza della password. Per questo motivo, se non si modifica la password prima della scadenza, è possibile eliminare l'account, causando la perdita dell'accesso alle condivisioni file di Azure.
Per evitare la rotazione imprevista delle password, durante l'onboarding dell'account di archiviazione di Azure nel dominio, assicurarsi di inserire l'account di archiviazione di Azure in un'unità organizzativa separata in Active Directory Domain Services. Disabilitare l'ereditarietà di Criteri di gruppo in questa unità organizzativa per impedire l'applicazione di criteri di dominio predefiniti o criteri password specifici.
Nota
Un'identità dell'account di archiviazione in Servizi di dominio Active Directory può essere un account del servizio o un account computer. Le password dell'account del servizio possono scadere in Active Directory (AD); Tuttavia, poiché le modifiche alla password dell'account computer sono guidate dal computer client e non da Active Directory, non scadono in ACTIVE Directory.
Esistono due opzioni per attivare la rotazione delle password. È possibile usare il AzFilesHybrid modulo o Active Directory PowerShell. Usare un metodo, non entrambi.
Si applica a
| Tipo di condivisione file | SMB | NFS |
|---|---|---|
| Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona |  |
 |
| Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona | |
|
| Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona | |
|
Opzione 1: Usare il modulo AzFilesHybrid
È possibile eseguire il Update-AzStorageAccountADObjectPassword cmdlet dal modulo AzFilesHybrid. È necessario eseguire questo comando in un ambiente aggiunto ad Active Directory Domain Services locale da un'identità ibrida con autorizzazione di proprietario per l'account di archiviazione e le autorizzazioni di Active Directory Domain Services per modificare la password dell'identità che rappresenta l'account di archiviazione. Il comando esegue azioni simili alla rotazione delle chiavi dell'account di archiviazione. Nello specifico, ottiene la seconda chiave Kerberos dell'account di archiviazione e la usa per aggiornare la password dell'account registrato in Active Directory Domain Services. Rigenera quindi la chiave Kerberos di destinazione dell'account di archiviazione e aggiorna la password dell'account registrato in Active Directory Domain Services.
# Update the password of the AD DS account registered for the storage account
# You may use either kerb1 or kerb2
Update-AzStorageAccountADObjectPassword `
-RotateToKerbKey kerb2 `
-ResourceGroupName "<your-resource-group-name-here>" `
-StorageAccountName "<your-storage-account-name-here>"
Questa azione cambierà la password per l'oggetto AD da kerb1 a kerb2. Si tratta di un processo a due fasi: ruotare da kerb1 a kerb2 (kerb2 verrà rigenerato nell'account di archiviazione prima di essere impostato), attendere diverse ore e quindi ruotare indietro a kerb1 (questo cmdlet rigenera analogamente kerb1).
Opzione 2: Usare Active Directory PowerShell
Se non si vuole scaricare il AzFilesHybrid modulo, è possibile usare Active Directory PowerShell.
Importante
I cmdlet di PowerShell di Windows Server Active Directory in questa sezione devono essere eseguiti in Windows PowerShell 5.1 con privilegi elevati. PowerShell 7.x e Azure Cloud Shell non funzioneranno in questo scenario.
Sostituire <domain-object-identity> nello script seguente con il valore e quindi eseguire lo script per aggiornare la password dell'oggetto di dominio:
$KeyName = "kerb1" # Could be either the first or second kerberos key, this script assumes we're refreshing the first
$KerbKeys = New-AzStorageAccountKey -ResourceGroupName $ResourceGroupName -Name $StorageAccountName -KeyName $KeyName
$KerbKey = $KerbKeys.keys | Where-Object {$_.KeyName -eq $KeyName} | Select-Object -ExpandProperty Value
$NewPassword = ConvertTo-SecureString -String $KerbKey -AsPlainText -Force
Set-ADAccountPassword -Identity <domain-object-identity> -Reset -NewPassword $NewPassword
Verificare che la password dell'account di Active Directory Domain Services corrisponda a una chiave Kerberos
Dopo aver aggiornato la password dell'account di Active Directory Domain Services, è possibile testarla usando il comando di PowerShell seguente.
Test-AzStorageAccountADObjectPasswordIsKerbKey -ResourceGroupName "<your-resource-group-name>" -Name "<your-storage-account-name>" -Verbose